El pasado 4 de junio, después de una larga espera, la Comisión Europea aprobó dos nuevos conjuntos de cláusulas contractuales tipo (“CCT”), uno para su uso entre responsables y encargados del tratamiento, y otro para las transferencias de datos personales a terceros países.

Las CCT son modelos de cláusulas estandarizadas y pre-aprobadas que pueden incorporarse a los contratos, de forma voluntaria, para asegurar así el cumplimiento en determinados casos de la normativa de protección de datos.

En el caso de las CCT, para transferencias internacionales de datos, estas cláusulas estipulan las medidas que han de aplicar los importadores y exportadores de datos a terceros país sin protección equiparable a la normativa de la UE, con el fin de garantizar un nivel de protección esencialmente equivalente.

Estas CCT deberán usarse desde el 27 de septiembre de 2021 para las nuevas transferencias de datos, si bien la Comisión Europea ha establecido un período de transición hasta el 27 de diciembre de 2022 (15 meses) para sustituir las CCT en vigor hasta ahora (siempre que no se modifique el acuerdo subyacente entre las partes o el alcance de los datos objeto de tratamiento).

Estas dos nuevas versiones de las CCT se adaptan a las exigencias del Reglamento de protección de datos (“RGPD”), al tiempo que tienen en cuenta la sentencia Schrems II, en la que el Tribunal de Justicia de la Unión Europea (“TJUE”) invalidó la decisión de adecuación relativa al Privacy Shield o “Escudo de Privacidad” con Estados Unidos, y confirmó las cláusulas contractuales tipo anteriores, pero bajo ciertas condiciones. En ese contexto, era necesaria la adopción de unas nuevas CCT que se adaptaran a este escenario.

Novedades introducidas por las CCT

Las novedades que introducen estas CCT son, principalmente, las siguientes:

  • Enfoque modular. En lugar de regular conjuntos separados de cláusulas (unas para destinatarios que sean responsables y otras para destinatarios que sean encargados), las CCT prevén hasta cuatro supuestos o “módulos”. Este enfoque modular permite a los responsables y encargados del tratamiento seleccionar el módulo aplicable a su situación y adaptar sus obligaciones, funciones y responsabilidades, dependiendo del tipo de transferencia que se vaya a realizar. Los módulos son los siguientes:

Transferencia de datos de responsable a responsable (Modelo 1).

Transferencia de responsable a encargado (Modelo 2).

Transferencia de encargado a encargado (Modelo 3).

Transferencia de encargado exportador a responsable importador (Modelo 4).

  • Responsables establecidos fuera de la Unión. Estas CCT cubren también las transferencias de datos personales por parte de responsables o encargados del tratamiento no establecidos en la UE, en la medida en que el tratamiento en cuestión esté sujeto al RGPD, por lo que aumenta el número de escenarios que podrían someterse a esta salvaguarda.
  • Contratos de encargo de tratamiento. Estas CCT cubren los requisitos del artículo 28 del RGPD, de forma que no es necesario suscribir, de forma adicional en los casos en que proceda, un contrato de tratamiento de datos o de encargado del tratamiento (“DPA”).
  • Incorporación de terceros. Se permite el sometimiento de partes adicionales a unas CCT ya suscritas entre dos partes, siendo posible que tanto responsables como encargados del tratamiento adicionales puedan adherirse en cualquier momento del periodo de vigencia del contrato. Esto puede ser muy útil para incorporar sub-encargados del tratamiento.
  • Ejemplos de medidas complementarias. Las CCT indican los pasos que las empresas deben seguir para cumplir con lo establecido en la sentencia Schrems II, así como ejemplos de medidas complementarias o de obligaciones adicionales que deben poner en marcha en determinados casos (por ejemplo, la encriptación de los datos).

Implicaciones sobre Schrems II: Transfer Impact Assessment.

La aprobación de las cláusulas contractuales tipo no significa que puedan formalizarse contratos con terceros para que reciban datos personales sin importar su localización o las circunstancias específicas de la transferencia: deberá analizarse en cada supuesto la injerencia que puede comportar la transferencia de datos a un tercer país, con lo que se conoce como evaluación de impacto de la transferencia o transfer impact assessment.

Dicha evaluación, que deberá documentarse por escrito, debe analizar los riesgos de privacidad de la transferencia de datos teniendo en cuenta el marco normativo del país de destino. En particular deberá valorar las circunstancias específicas de la transferencia (como el contenido y la duración, la naturaleza de los datos a transferir, el destinatario, la finalidad del tratamiento) y cualquier salvaguarda adicional a las cláusulas (incluidas las medidas técnicas y organizativas pertinentes).

Las CCT aprobadas por la Comisión Europea no incluyen una plantilla para realizar dicha evaluación. Para ello, deben tenerse en cuenta las recomendaciones que al respecto ha emitido el Comité Europeo de Protección de Datos (“CEPD”): Las Recomendaciones 1/2020 sobre las herramientas adicionales en las transferencias para asegurar el cumplimiento del nivel de protección de datos personales de la UE.

El CEPD, con el fin de salvar los problemas planteados por la ya citada sentencia Schrems II, ha definido una serie de salvaguardas que las partes deben tener en consideración para asegurar que en la normativa o práctica del país tercero de destino no hay nada que impida cumplir las obligaciones contractuales.

A lo largo de dichas Recomendaciones, el CEPD incide en el concepto de responsabilidad proactiva, que, en este contexto, implica la obligación de adoptar acciones tendentes a asegurar que los datos no se verán comprometidos no sólo en la trasferencia internacional efectuada, sino en las posteriores trasferencias o actuaciones que el receptor o exportador pueda llevar a cabo en el ámbito de su relación contractual.

Esto supone un incremento del nivel de documentación necesario, así como un significante y continuo esfuerzo de mantenimiento de evidencias, con mayores obligaciones de diligencia.

El CEPD define, en las citadas Recomendaciones, el protocolo a aplicar con carácter previo a la trasferencia:

  1. En primer lugar, será necesario entender plenamente el impacto de la transferencia de datos, no sólo de lo que lleve a cabo el emisor o importador, sino de lo que posteriormente pueda efectuar el receptor o exportador.
  1. En segundo lugar, hay que revisar periódicamente la validez de los instrumentos con se lleva a cabo el tratamiento. Si se trata de una decisión de adecuación de la Comisión Europea, conviene revisar la lista publicada en su web y si, por el contrario, el tratamiento se fundamenta en los mecanismos de los art. 46 y 49 RGPD hay que tener presentes las actualizaciones en materia de buenas prácticas.
  1. Debe analizarse si existe algún elemento en la legislación del país de destino que limite o comprometa la efectividad de la protección otorgada por el RGPD.
  1. El CEPD recomienda revisar periódicamente las medidas adoptadas, así como documentar todas los pasos y medidas que se vayan acometiendo. Solo de esta forma se puede demostrar la actuación diligente del responsable del tratamiento.

Consecuencias de la nueva situación

Para asegurar el cumplimiento de estas nuevas reglas, es necesario:

  • Identificar las transferencias internacionales que actualmente se están efectuando en cada empresa y los instrumentos en los que se basan (ya sea CCT o cualquiera de los supuestos en los que el RGPD permite la transferencia), realizando un análisis específico de cada caso;
  • Si fuera preciso usar las cláusulas contractuales tipo, determinar que módulo es el mas apropiado en cada caso, así como las medidas y garantías complementarias aplicables en cada transferencia;
  • Planificar, teniendo en cuenta los plazos de aplicación, la modificación de los contratos y la entrada en vigor de las nuevas CCT; y
  • Realizar el análisis específico de cada transferencia, con un enfoque basado en el riesgo y que cumpla con las citadas Recomendaciones.

Por último, es necesario tener en cuenta que la Comisión Europea y el Departamento de Comercio de los Estados Unidos se han comprometido a intensificar las negociaciones para establecer un mecanismo que suceda al Privacy Shield que fue invalidado por la Sentencia Schrems II, por lo que habrá que seguir pendiente de futuras novedades en la materia.


Diego Gutiérrez | Socio

Ana Guerrero | Abogada

Share This